Google публикува код за непокрита уязвимост в Windows

10
1938

Project Zero и Google решиха да застрашат за пореден път сигурността на потребителите на Windows, публикувайки подробности за непокрита уязвимост в платформата, свързана с браузъра Edge. Припомняме, че това е четвъртият случай за последните осем години.

Този път става въпрос за уязвимост, която, ако бъде експлоатирана успешно, биват преодолявани защитните механизми на браузъра, насочени към защитата срещу атаки с експлойти за уязвимости – Arbitrary Code Guard (ACG). Технологията беше въведена с Windows 10 Creators Update и целта ѝ е да спира атаки, които се опитват да зареждат зловреден код в паметта. Системата се грижи за това единствено подписан код да достига паметта. Оказва се обаче, както и посочват от Microsoft, JIT (Just-in-Time) компилаторите, които се ползват в модерните браузъри създават проблем за ACG. Те преобразуват JavaScript кода в машинен код, който понякога не е подписан и се зарежда с процеса, свързан с него. За да се справят с проблема, Microsoft отделят JIT компилирането в Edge, в отделен процес, който върви в изолирана среда.

Project Zero са открили обаче начин как да подлъжат защитния механизъм и са уведомили Microsoft през ноември, предупреждавайки ги, че след изтичането на стандартния период от 90 дни за запушване на дупката, ще публикуват код, валидиращ наличието на уязвимостта – което и направили. ZDNet предава, че Microsoft са признали за наличието на проблема, но се е оказало, че издаването на решение за него ще им отнеме по-дълго от очакваното време. Очаква се да бъде издадена кръпка към него в мартенския Patch Tuesday.

10
ДОБАВИ КОМЕНТАР

avatar
4 Коментари
6 Отговори на коментарите
2 Последователи
 
Коментарът с най-много реакции
Най-горещя коментар
10 Автори на коментарите
OOOdoktor4e_toАз ве азДъмбецаКоментар Автори на последните коментари
  Абонирай се  
нови стари оценка
Извести ме за
Google Fanboy
Google Fanboy

Браво, смачкайте микромеките.

Коментар
Коментар

вместо да измислят всякакви мал*умни и неприложими „нововъведения“ всеки месец, да вземат да си запушат дупките в бъгливия продукт.

W10
W10

Смачкайте трола!

Радо
Радо

Има много други браузъри. Аз лично винаги съм бил с Firefox, който преди няколко месеца смених с WaterFox, след като скапаха Firefox и не работят старите add-ons.

mathur
mathur

Тея що не си гледат скапаната андробъгова система???

Аз ве аз
Аз ве аз

Имаш ли гугълски телефон, щом си мислиш, че е бъгава?

TGR
TGR

Дай си тел. Номер или някой друг начин за комуникация, да ти пратя едно съобщение от андроид бъгавата ми система на iSitOS-a , за да ти отговоря

doktor4e_to
doktor4e_to

Старо е това 😂

Дъмбеца
Дъмбеца

До колкото съм наясно, и тествал (имам и iOS и Android) същото съобщение успяваше да забави стабилно и доста Android-и, така, че без излишни нападки.

OOO
OOO

„Project Zero и Google решиха да застрашат за пореден път сигурността на потребителите на Windows“ – Обратното е!
По този начин Google притискат Microsoft вече да си оправят бъга, за който е съобщено на Microsoft още през ноември. Оставяйки го неоправен 4 месеца – Microsoft излагат потребителите си на опасност а не Google.

Слаб (2) на автора който явно не е много умен.